Vorsicht in der Planungsphase

In zwölf Schritten zu modernem IAM

20.03.2013
Von 


Martin Kuppinger ist Gründer des Analystenunternehmens KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er mehr als 50 IT-Bücher geschrieben. Er ist Referent und Moderator bei Kongressen.
Die Umsetzung einer Identitäts- und Access-Management-Infrastruktur erfordert eine sorgfältige Planung. Unternehmen sollten in dieser Phase mehrere wichtige Punkte beachten.

Identity und Access Management (IAM) ist ein Kernelement jeder IT-Infrastruktur. Das Management von Benutzern und ihren Zugriffsberechtigungen ist unverzichtbar, um rechtliche und administrative Anforderungen zu erfüllen. Es hilft auch dabei, sichere Geschäftsabläufe schnell umzusetzen.

IAM besteht nicht nur aus einem Tool. Es bezeichnet vielmehr eine Reihe unterschiedlicher Technologien, die helfen können, Benutzer zu verwalten und zu authentifizieren, Zugriffe zu autorisieren sowie die dazu gehörigen Zugriffsrechte zu verwalten und das Ganze zu überwachen. Oft spricht man dabei von den 4A - Administration, Authentifizierung, Autorisierung, Auditing.

Klärung der Fachbegriffe

Die zentrale Frage: Wer hat auf was Zugriff?
Die zentrale Frage: Wer hat auf was Zugriff?
Foto: Choucashoot - Fotolia.com

Bei der Benennung der wichtigsten Komponenten fällt der Blick zunächst auf die Bereiche "Identity Provisioning" und "Access Governance". Identity-Provisioning-Systeme verwalten die Identitäten und Berechtigungen in verschiedenen Zugriffsschutzsystemen wie Active Directory, LDAP-Server, Datenbanken, aber auch Business-Anwendungen wie SAP. Access Governance stellt Funktionen für die Analyse von Berechtigungen, deren Rezertifizierung (Bestätigung der Richtigkeit) beispielsweise durch die Abteilungsleiter und für die einfache Anforderung durch Endanwender bereit.

Weitere wichtige Bereiche sind:

  • das Enterprise Single Sign-On für die Anmeldung an vielen Systemen mit nur einer Authentifizierung;

  • die Identity Federation für die standardisierte Verbindung unterschiedlicher Systeme innerhalb und außerhalb des Unternehmens;

  • Web Access Management vor allem für die zentrale Authentifizierung von Zugriffen auf Web-Anwendungen;

  • das dynamische Autorisierungsmanagement, mit dem Anwendungen zur Laufzeit von zentralen Systemen Autorisierungsentscheidungen anfordern können, die auf zentral verwalteten Regeln basieren.

Wo wird es eingesetzt?

Identity Federation ist deshalb interessant, weil damit beispielsweise ein Automobilhersteller eine Anwendung realisieren kann, bei der die Benutzer von den Zulieferern authentifiziert werden, so dass diese Anwendung nur noch die Autorisierung übernehmen muss. Dazu muss diese Anwendung natürlich darauf vertrauen, dass die Zulieferer das auch richtig machen - aber im Gegenzug müssen nicht alle Benutzer beim Automobilhersteller verwaltet werden, was den Verwaltungsaufwand und die Fehlergefahr senkt.

Dynamisches Autorisierungsmanagement ist eines der weniger bekannten IAM-Themen, das aber deutlich an Bedeutung gewinnt. Dabei geht es darum, die Regeln für Autorisierungsentscheidungen eben nicht mehr in Anwendungen selbst zu codieren, sondern auf zentrale Autorisierungssysteme und Regeln zurückzugreifen. Änderungen lassen sich von einem Punkt aus vornehmen - vom neuen Job eines Mitarbeiters bis hin zur Änderung von Limits für die Genehmigung von Verträgen aufgrund geänderter gesetzlicher Vorschriften. Das bringt viele Vorteile für Auditing, Nachvollziehbarkeit und einen reduzierten Änderungsaufwand für Anwendungen.

Zunächst geben wir Ihnen eine kurze Übersicht über die zwölf Punkte, die es zu beachten gilt. Auf den folgenden Seiten werden alle Schritte ausführlich erläutert.